Un Active Directory® è sia il componente concettuale integrale che il nome di una tecnologia software creata da Microsoft®. Può essere visualizzato come un catalogo, fornendo un elenco di riferimento essenziale per praticamente tutto ciò che può essere gestito in un’infrastruttura di rete di computer. La directory è strutturata gerarchicamente e può includere computer, persone e anche intere reti. Il sistema fornisce un mezzo per la gestione centralizzata di una rete di computer e della sua sicurezza che è scalabile, sincronizzato e standardizzato su tutta la rete.
Il cuore di Active Directory® è un protocollo del servizio di directory noto come protocollo LDAP (Lightweight Directory Access Protocol). Questo protocollo stabilisce i mezzi con cui la struttura della directory è organizzata e letta o scritta. Per motivi di sicurezza, Active Directory® utilizza il protocollo di autenticazione di rete Kerberos. Il servizio fornisce anche un sistema di nomi di dominio (DNS) per tradurre gli indirizzi del protocollo Internet (IP) in nomi riconoscibili.
Tutto ciò che entra in un Active Directory® è considerato un oggetto. Esistono fondamentalmente due tipi di oggetti, una risorsa e un principio di sicurezza. Laddove le risorse sono tipicamente costruzioni fisiche, come le stampanti, gli oggetti del principio di sicurezza sono un po’ più astratti. A ciascun principio di sicurezza viene assegnato un identificatore di sicurezza (SID) nel sistema Active Directory® e quindi rappresenta tutto ciò che può essere autenticato dal sistema ea cui sono associati i permessi. Poiché alcuni oggetti possono ovviamente essere di entrambi i tipi, come un computer in rete che è sia una risorsa che un principio, in alcuni casi possono essere annidati l’uno nell’altro.
Visto da tre diversi livelli gerarchici, un Active Directory® è costituito da quelli che sono noti come foreste, alberi e domini. Questo può rispecchiare la struttura effettiva di un’organizzazione, sia geograficamente che organizzativa. Ad esempio, la foresta di un’azienda può essere costituita da due domini primari, uno per Chicago e l’altro per New York. Al di sotto di ciascuno, possono essere creati domini aggiuntivi per la gestione delle attività commerciali in ciascuna città, come il reparto contabilità, un team di vendita, ricerca e sviluppo e così via. Questi due alberi di dominio stabiliscono quindi una relazione di trust tra loro in modo che gli utenti di entrambi i domini possano accedere alle risorse dell’altro, se necessario.
Al centro di Active Directory® c’è la cosiddetta unità organizzativa (OU). All’interno di un dominio è possibile nidificare qualsiasi numero di unità organizzative. Questi permettono che la struttura di Active Directory® corrisponda a quella dell’organizzazione e forniscono un mezzo centralizzato per la gestione distribuita degli oggetti nella directory. Con una struttura organizzativa consolidata, la gestione aggiuntiva può essere delegata ai sottodomini nell’albero, consentendo diversi livelli di privilegio alle varie UO di un’organizzazione.
Tutte le informazioni in Active Directory® sono archiviate in un database denominato archivio di directory. Il sistema consente a questo database di replicarsi tra gli altri nell’albero del dominio e più in alto nella foresta. I domini all’interno dell’albero controllano periodicamente le modifiche all’archivio di directory in altri domini e quindi inseriscono i dati nel proprio in caso di modifiche.